Jump to content
supilot

Coordinator 3.2 И Обработки Прикладных Протоколов (Ftp)

Recommended Posts

Есть два офиса А и В. В каждом по координатору (Win).

В локальной сети офиса А стоит ftp-сервер.

С рабочих станций сети офиса В ходим на упомянутый ftp сервер A.

После апгрейда с 3.1 на 3.2 перестал работать доступ к ftp серверу. То есть авторизация происходит, но обмена данными нет, ftp клиент не может получить список папок на сервере.

Правило для туннелированного ресурса создано, разрешены входящие соединения на порт сервера TCP 21 . Обработка ftp протокола тоже включена.

Но дополнительные data соединения на случайные порты клиента блокируются координатором.

Для того, чтобы обмен состоялся приходится открывать на координаторе А фильтр для тунелируемого узла (ftp сервера) с полностью открытыми TCP портами.

Share this post


Link to post
Share on other sites

Правило для туннелированного ресурса создано, разрешены входящие соединения на порт сервера TCP 21 . Обработка ftp протокола тоже включена.

Но дополнительные data соединения на случайные порты клиента блокируются координатором.

Для того, чтобы обмен состоялся приходится открывать на координаторе А фильтр для тунелируемого узла (ftp сервера) с полностью открытыми TCP портами.

Раз никто не пишет. FTP пассивный или активный?

Share this post


Link to post
Share on other sites

А есть разница?

Активный

Разница есть, когда ФТП пассивный, а открыт только 21 порт, как раз авторизация проходит, а листинга директорий нет. Если подключаетесь браузером к активному ФТП как раз такая борода и случится.

Идем дальше. Что в логах ФТП? Что в журнале событий координатора? Наверняка клиент генерирует подключения к ФТП серверу по портам 1024-65535, которые отрезаны.

Share this post


Link to post
Share on other sites

Да, так и происходит.

Но согласно мануалу, обработка протокола ftp (как и SIP) в том и заключается, что достаточно создать одно правило для 21 порта, а далее координатор сам будет создавать временное правило для предлагаемого случайного порта ftp-data.

В качестве ftp-клиентов используется FAR и Total Commander.

Share this post


Link to post
Share on other sites

Да, так и происходит.

Но согласно мануалу, обработка протокола ftp (как и SIP) в том и заключается, что достаточно создать одно правило для 21 порта, а далее координатор сам будет создавать временное правило для предлагаемого случайного порта ftp-data.

В качестве ftp-клиентов используется FAR и Total Commander.

В тотале в настройках есть опция "работать в пассивном режиме". Если галка не стоит, то 21 порта достаточно.

Обновлялись оба координатора? Как работает опция не представляю, в документации не нашел описания.

Share this post


Link to post
Share on other sites

Да, обновились оба.

Есть онлайн-справка:

Общие сведения о прикладных протоколах

Функционирование сетевых сервисов, например, таких как, IP-телефония, DNS-служба, FTP-служба, обеспечивается прикладными протоколами, которые регламентируют передачу IP-адреса в теле пакета. Поведение подобного рода может привести к отсутствию сервиса на защищаемых ресурсах в случае использования технологии виртуальных IP-адресов или трансляции адресов. Кроме того, некоторые протоколы помимо основного (управляющего) соединения, открывают для передачи данных дополнительные соединения на случайно выбранный порт. Для IP-пакетов, следующих на порт назначения, номер которого заранее не известен, невозможно создать разрешающее правило фильтрации, следовательно, соединение будет заблокировано.

Решить перечисленные проблемы позволяет обработка прикладных протоколов, которая обеспечивает:

Подмену виртуального IP-адреса в теле пакета на реальный IP-адрес в случае использования технологии виртуальных IP-адресов.

Подмену IP-адреса защищаемого узла в прикладном протоколе на транслируемый адрес в случае использования технологии трансляции адресов.

Активацию разрешающего правила фильтрации IP-трафика для дополнительного соединения на случайно выбранный порт, открываемого прикладным протоколом.

Примечание. В программе ViPNet Монитор обработка прикладных протоколов осуществляется для всех видов трафика: открытого, защищенного и туннелируемого.

Следует учитывать, что обработка прикладных протоколов не предполагает автоматического разрешения на установление управляющего соединения с открытыми узлами. Установление управляющего соединения с открытыми узлами осуществляется в соответствии с настроенными фильтрами открытой сети и режимом безопасности в программе ViPNet Монитор.

Рассмотрим обработку прикладного протокола на примере протокола FTP.

При передаче файлов между FTP-клиентом и FTP-сервером протокол регламентирует установление двух TCP-соединений: управляющее соединение — для отправки команд FTP-серверу и получения ответов от него, и дополнительное соединение для передачи данных. Соединение клиента с сервером осуществляется в одном из двух режимов: активном и пассивном. В активном режиме клиент инициирует управляющее соединение с порта из диапазона 1024-65535 на порт с номером 21 на сервере. По номеру порта, с которого клиент инициировал соединение, сервер подключается к клиенту и устанавливает соединение для передачи данных. При этом со стороны сервера соединение происходит через порт с номером 20. В пассивном режиме после установления управляющего соединения сервер сообщает клиенту случайно выбранный номер порта из диапазона 1024-65535, к которому можно подключиться при установлении соединения для передачи данных. Таким образом, в активном режиме клиент должен принять соединение для передачи данных от сервера, в пассивном режиме соединение для передачи данных всегда инициирует клиент.

Для установления управляющего и дополнительного соединений в активном или пассивном режиме работы протокола FTP в зависимости от выбранного режима безопасности необходимо выполнить следующие настройки в программе ViPNet Монитор:

Для разрешения управляющего соединения в активном и пассивном режимах при использовании второго режима безопасности следует дополнительно в фильтрах открытой сети разрешить исходящее соединение на порт 21 FTP-сервера.

Для разрешения дополнительного соединения на случайно выбранный порт:

В активном режиме при использовании второго или третьего режима безопасности для активации разрешающего правила фильтрации следует включить обработку протокола FTP.

В пассивном режиме при использовании второго режима безопасности следует включить обработку протокола FTP. При использовании третьего режима безопасности настройка дополнительных правил фильтрации и обработка прикладных протоколов не требуется.

Рассмотрим еще один пример — обработку прикладного протокола на примере протокола SIP.

Протокол SIP предназначен для организации, модификации и завершения сеансов связи: мультимедийных конференций, телефонных соединений и распределения мультимедийной информации.

Вызывающий SIP-клиент отправляет запрос (например, приглашение к сеансу связи, подтверждение приема ответа на запрос, завершение сеанса связи) вызываемому SIP-клиенту с указанием его SIP-адреса. В зависимости от способа установления соединения запрос направляется вызываемому клиенту напрямую, либо с участием прокси-сервера SIP, либо с участием сервера переадресации. Вызываемый клиент в зависимости от типа полученного запроса передает вызывающему клиенту ответ на запрос (например, информацию об ошибке при обработке запроса, запрос успешно обработан, отклонение входящего вызова).

Для установления сеанса связи между SIP–клиентами протокол SIP регламентирует установление соединений TCP и UDP через порт 5060.

Чтобы установить сеанс связи между SIP–клиентами необходимо включить обработку протокола SIP и выполнить дополнительные настройки в программе ViPNet Монитор:

Чтобы SIP-клиент мог принять запрос на установление сеанса связи или принять ответ на запрос при использовании второго или третьего режима безопасности, в фильтрах открытой сети следует разрешить входящее соединение на порт 5060.

Чтобы SIP-клиент мог отправить запрос на установление сеанса связи или ответ на запрос при использовании второго режима безопасности, в фильтрах открытой сети следует разрешить исходящее соединение на порт 5060. При использовании третьего режима безопасности настройка дополнительных правил фильтрации не требуется.

Share this post


Link to post
Share on other sites

Да, обновились оба.

Есть онлайн-справка:

Общие сведения о прикладных протоколах

Увы, общие фразы.

Если правила остались неизменными (предполагать баг не хотелось бы, это не интересно), то возможно сменился режим работы координатора? А это могло повлиять при неизменности всех остальных настроек..

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.